Политика безопасности контента – внешний HTML

Политика безопасности контента – внешний HTML ⇐ Html

1 сообщение • Страница 1 из 1

Anonymous

Политика безопасности контента – внешний HTML

Цитата

Сообщение Anonymous » 14 окт 2025, 00:52

Использование default-src 'none' для блокировки всего, что явно не занесено в белый список где-либо еще в CSP. Единственное, с чем я борюсь, — это внешний HTML-код, загружаемый платежной системой Stripe, и кнопки социальных сетей ShareThis.
Типичными нарушениями являются URL-адреса htm и html:

Код: Выделить всё

https://t.sharethis.com/a/t_.htm

Код: Выделить всё

https://js.stripe.com/v3/m-outer-ff599b5032b79ea1f89ba5416bea26e6.html

Я не могу определить правильную директиву политики/тип ресурса, позволяющую использовать URL-адреса htm и html.
Я стараюсь не добавлять их в default-src.

Как мне это сделать?

Мой вопрос уникален тем, что предложенный дубликат не определяет правильную директиву, разрешающую URL-адреса htm и html.

Подробнее здесь: https://stackoverflow.com/questions/678 ... ernal-html

1760392324

Anonymous

Использование default-src 'none' для блокировки всего, что явно не занесено в белый список где-либо еще в CSP. Единственное, с чем я борюсь, — это внешний HTML-код, загружаемый платежной системой Stripe, и кнопки социальных сетей ShareThis.
Типичными нарушениями являются URL-адреса htm и html:


[code]https://t.sharethis.com/a/t_.htm[/code]

[code]https://js.stripe.com/v3/m-outer-ff599b5032b79ea1f89ba5416bea26e6.html[/code]

Я не могу определить правильную директиву политики/тип ресурса, позволяющую использовать URL-адреса htm и html.
Я стараюсь не добавлять их в default-src.

Как мне это сделать?

Мой вопрос уникален тем, что предложенный дубликат не определяет правильную директиву, разрешающую URL-адреса htm и html. 

Подробнее здесь: [url]https://stackoverflow.com/questions/67836210/content-security-policy-external-html[/url]